Si eres usuario de tarjetas VISA, estarás acostumbrado a no introducir el PIN de tu tarjeta cuando realices compras de menos de 20 euros. Pues bien, según apuntan Investigadores británicos, se ha conseguido hacer pagos de más de 100 euros sin introducir el PIN, lo cual entraña un grave peligro para los usuarios de tarjetas VISA.
Y es que, los investigadores utilizaron un hardware especializado con el que han conseguido interceptar las comunicaciones entre la tarjeta y el lector, e insertar mensajes entre ellas de forma que consiguen realizar transacciones que superan el límite permitido sin que sea necesario introducir ningún método de verificación. como el PIN, a pesar de que la transacción de más de 30 libras lo requiriera. Después, le comunican al datáfono que la verificación ya se ha realizado por otro método.
¿Qué consecuencias puede tener este hackeo?
Tal y como afirman los investigadores que han realizado las pruebas, este hackeo pone en peligro a todos los usuarios de VISA, ya que, normalmente los bancos bloquean una tarjeta si se realizan varios cargos de pequeñas cantidades muy seguidos (porque se espera sea el comportamiento de un ladrón que, al no conocer el PIN no puede realizar pagos de más de 20 euros). Sin embargo, esta vulnerabilidad de las tarjetas VISA supone que puedan hacerse grandes transacciones sin verificación.
De momento no hay ninguna solución rápida, ya que este ataque man-in-the-middle afecta a la tarjeta y a los lectores de las mismas. Desde VISA no van a actualizar sus sistemas, ya que, afirman, el número de situaciones donde podría darse un caso como el mostrado por los investigadores británicos es muy limitado, y el ladrón tendría que tener la tarjeta en su poder.
Sin embargo, los investigadores disienten de esta afirmación, y dicen que tan sólo es necesario que un atacante esté cerca de la tarjeta para que se realice el pago. Lo cierto, es que si VISA no implanta ninguna medida al respecto, solo nos queda prestar especial atención a nuestra tarjeta de crédito y sus movimientos y usar una cartera con protección RFID que evite un posible comunicación errónea. Al menos, hasta la llegada de una nueva ley europea con la que se obligará a usar métodos de verificación en las transacciones contactless si se supera un determinado límite, que llegará en septiembre.
Fuente: globbsecurity.com